| 3.3. Creación de perfiles de Novell AppArmor con la interfaz gráfica de usuario de YaST | ||
|---|---|---|
 | Capítulo 3. Creación de perfiles de Novell AppArmor |  |
| 3.3. Creación de perfiles de Novell AppArmor con la interfaz gráfica de usuario de YaST | ||
|---|---|---|
| | Capítulo 3. Creación de perfiles de Novell AppArmor | |
Abra la interfaz gráfica de usuario de YaST iniciando + en el menú principal. Novell AppArmor abre la interfaz de YaST tal y como se muestra a continuación:
![[Note]](admon/note.png) | Nota |
|---|---|
También puede acceder a la interfaz gráfica de usuario de YaST abriendo una ventana de terminal, iniciando sesión como usuario Root e introduciendo el comando yast2. | |
 |
En el marco derecho observará varios iconos de opciones de Novell AppArmor. Si Novell AppArmor no aparece en el marco izquierdo de la ventana de YaST, o bien los iconos de Novell AppArmor no aparecen, puede que sea necesario volver a instalar Novell AppArmor. Novell AppArmor permite realizar las acciones descritas a continuación.
Haga clic en uno de los siguientes iconos de Novell AppArmor y seguidamente pase a la sección a la que se hace referencia:
Para obtener información detallada, consulte la Sección 3.3.1, “Adición de perfiles mediante el asistente” (↑Guía de administración de Novell AppArmor 2.0).
Permite añadir un perfil de Novell AppArmor para una aplicación del sistema sin la ayuda del asistente. Para obtener información detallada, consulte la Sección 3.3.2, “Adición manual de perfiles” (↑Guía de administración de Novell AppArmor 2.0).
Edita un perfil de Novell AppArmor existente en el sistema. Para obtener información detallada, consulte la Sección 3.3.3, “Edición de perfiles” (↑Guía de administración de Novell AppArmor 2.0).
Permite suprimir un perfil de Novell AppArmor existente en el sistema. Para obtener información detallada, consulte la Sección 3.3.4, “Supresión de perfiles” (↑Guía de administración de Novell AppArmor 2.0).
Para obtener información detallada, consulte la Sección 3.3.5, “Actualización de perfiles a partir de entradas del registro del sistema” (↑Guía de administración de Novell AppArmor 2.0).
Para obtener información detallada, consulte la Sección 4.3, “Informes” (↑Guía de administración de Novell AppArmor 2.0).
Para obtener información detallada, consulte la Sección 3.3.6, “Gestión de Novell AppArmor y del estado de los eventos de seguridad” (↑Guía de administración de Novell AppArmor 2.0).
El está diseñado para configurar los perfiles de Novell AppArmor utilizando las herramientas de perfiles de Novell AppArmor, genprof (generar perfil) y logprof (actualizar perfiles a partir de los registros del modo de aprendizaje). Para obtener más información acerca de estas herramientas, consulte la Sección 3.5.3, “Resumen de las herramientas de generación de perfiles” (↑Guía de administración de Novell AppArmor 2.0).
Detenga la aplicación antes de realizar perfiles sobre ella para asegurarse de que el inicio de la aplicación esté incluido en el perfil. Para ello, asegúrese de que la aplicación o el daemon no se estén ejecutando antes de realizar el perfil.
Por ejemplo, escriba /etc/init.d/PROGRAMA stop en una ventana de terminal tras iniciar sesión como usuario Root, donde PROGRAMA es el nombre del programa cuyo perfil desea crear.
Si no lo ha hecho ya, en la interfaz gráfica de usuario YaST, haga clic en +
 |
Introduzca el nombre de la aplicación o desplácese a la ubicación del programa.
Haga clic en De este modo se ejecutará una herramienta de Novell AppArmor llamada autodep, que lleva a cabo un análisis estático del programa cuyo perfil desea crear y carga un perfil aproximado en el módulo de Novell AppArmor. Para obtener más información acerca de autodep, consulte Sección 3.5.3.1, “autodep” (↑Guía de administración de Novell AppArmor 2.0).
Se abrirá la ventana del
 |
Novell AppArmor también establece en segundo plano el perfil en el modo de aprendizaje. Para obtener más información acerca del modo de aprendizaje, consulte Sección 3.5.3.2, “Modo de aprendizaje o de queja” (↑Guía de administración de Novell AppArmor 2.0).
Ejecute la aplicación cuyo perfil desee crear.
Lleve a cabo tantas funciones de la aplicación como sea posible para que el modo de aprendizaje pueda registrar los archivos y directorios a los que el programa debe acceder para funcionar correctamente.
Haga clic en para procesar los archivos de registro del modo de aprendizaje. De este modo se generará una serie de preguntas a las que deberá responder para guiar al asistente durante el proceso de generación del perfil de seguridad.
| Nota |
|---|---|
Si aparece una solicitud para añadir hats, pase al Capítulo 5, Creación de perfiles para las aplicaciones Web mediante ChangeHat de Apache (↑Guía de administración de Novell AppArmor 2.0). | |
Las preguntas se dividen en dos categorías:
Un programa con perfil solicita un recurso no incluido en el perfil (consulte la Figura 3.1, “Excepción del modo de aprendizaje: control de acceso a recursos específicos” (↑Guía de administración de Novell AppArmor 2.0)). La excepción del modo de aprendizaje requiere que el usuario permita o deniegue el acceso a un recurso específico.
El programa con perfil ejecuta otro programa y la transición del dominio de seguridad no está definida (consulte la Figura 3.2, “Excepción del modo de aprendizaje: definición de permisos de ejecución para una entrada” (↑Guía de administración de Novell AppArmor 2.0)). La excepción del modo de aprendizaje requiere que el usuario defina los permisos de ejecución de una entrada.
Cada uno de estos casos genera una serie de preguntas a las que deberá responder para añadir el recurso o el programa al perfil. Las dos figuras siguientes muestran un ejemplo de cada caso. Los pasos subsiguientes describen las opciones para responder a estas preguntas.
Se abrirá la ventana del
El comienza a sugerir entradas de vías de directorios a las que ha accedido la aplicación cuyo perfil está generando (tal y como se observa en la Figura 3.1, “Excepción del modo de aprendizaje: control de acceso a recursos específicos” (↑Guía de administración de Novell AppArmor 2.0)) o a solicitar que defina permisos de ejecución para las entradas (tal y como se observa en la Figura 3.2, “Excepción del modo de aprendizaje: definición de permisos de ejecución para una entrada” (↑Guía de administración de Novell AppArmor 2.0)).
En el caso de la (↑Guía de administración de Novell AppArmor 2.0), de las siguientes opciones, seleccione la que satisfaga la solicitud de acceso (puede ser una entrada include sugerida, una versión global concreta de la vía o el nombre de vía real). Tenga en cuenta que no todas estas opciones estarán siempre disponibles.
#includeSección de un perfil de Novell AppArmor que hace referencia a un archivo include. Los archivos include obtienen los permisos de acceso de los programas. Utilizando una declaración include, puede proporcionar al programa acceso a las vías de directorios o archivos que también necesiten otros programas. Al utilizar este tipo de declaraciones, podrá reducir el tamaño de los perfiles. Es recomendable seleccionar las entradas include cuando el sistema lo sugiera.
Se accede haciendo clic en tal y como se describe en el siguiente paso. Para obtener más información acerca de la sintaxis global, consulte la Sección 3.6, “Nombres de vías y englobamiento” (↑Guía de administración de Novell AppArmor 2.0).
La vía literal a la que debe acceder el programa para ejecutarse correctamente.
En el caso de la (↑Guía de administración de Novell AppArmor 2.0), de las siguientes opciones, seleccione la que satisfaga la solicitud de acceso.
Permanece en el mismo perfil de seguridad (perfil principal).
Requiere que exista un perfil distinto para el programa ejecutado.
Ejecuta el programa sin perfil de seguridad.
![[Warning]](admon/warning.png) | Aviso |
|---|---|
A menos que sea absolutamente necesario, no ejecute programas sin limitación. Si selecciona la opción el nuevo programa se ejecutará sin ninguna protección de AppArmor. | |
Después de seleccionar una vía de directorio, deberá procesarla como una entrada del perfil de Novell AppArmor haciendo clic en o en Si no está satisfecho con la entrada de vía de directorio tal y como aparece, también puede utilizar las opciones o
Las opciones disponibles para procesar las entradas del modo de aprendizaje y crear el perfil son las siguientes:
Proporciona acceso al programa a las entradas de vías de directorio especificadas. El sugiere los permisos de acceso a los archivos. Para obtener más información acerca de este tema, consulte la Sección 3.7, “Modos de permiso de acceso a archivos” (↑Guía de administración de Novell AppArmor 2.0).
Haga clic en para impedir que el programa acceda a las entradas de vías de directorios especificadas.
Al hacer clic en esta opción se modifica la vía de directorio (empleando comodines) para que incluya todos los archivos del directorio de entrada sugerido. Si hace doble clic se proporcionará acceso a todos los archivos y subdirectorios situados bajo el mostrado.
Para obtener más información acerca de la sintaxis de englobamiento, consulte la Sección 3.6, “Nombres de vías y englobamiento” (↑Guía de administración de Novell AppArmor 2.0).
Modifica la vía de directorio original conservando la extensión del nombre de archivo. Un solo clic hace que /etc/apache2/file.ext se convierta en /etc/apache2/*.ext, añadiendo el comodín (asterisco) en lugar del nombre de archivo. De este modo el programa puede acceder a todos los archivos de los directorios sugeridos que acaben con la extensión .ext. Si se hace doble clic se proporcionará acceso a todos los archivos (con la extensión definida) y subdirectorios situados bajo el mostrado.
Permite editar la línea destacada. La nueva línea (editada) aparecerá al final de la lista.
Cancela logprof, desechando todos los cambios de reglas introducidos hasta el momento y dejando intactos todos los perfiles, sin modificarlos.
Cierra logprof, guardando todos los cambios de reglas introducidos hasta el momento y modificando todos los perfiles en consecuencia.
Haga clic en o en para cada entrada del modo de aprendizaje. Esto facilita la creación del perfil de Novell AppArmor.
| Nota |
|---|---|
El número de entradas del modo de aprendizaje será directamente proporcional a la complejidad de la aplicación. | |
Repita los pasos anteriores si necesita ejecutar más funciones de la aplicación.
Cuando haya terminado, haga clic en En la siguiente ventana emergente, haga clic en para salir del asistente para la creación de perfiles. El perfil se guardará y cargará en el módulo de Novell AppArmor.
Novell AppArmor permite crear un perfil de Novell AppArmor añadiendo entradas manualmente al perfil. Basta con seleccionar la aplicación para la que desee crear el perfil y luego añadir entradas.
Para añadir un perfil, abra + Se abrirá la interfaz de Novell AppArmor.
En haga clic en (consulte la Figura 3.3, “Adición manual de perfiles: selección de la aplicación” (↑Guía de administración de Novell AppArmor 2.0)).
Desplácese por el sistema para encontrar la aplicación cuyo perfil desee crear.
Cuando encuentre el perfil, selecciónelo y haga clic en Aparecerá un perfil básico y vacío en la ventana
 |
En la ventana puede añadir, editar o suprimir entradas de perfiles de Novell AppArmor haciendo clic en los botones correspondientes y consultando las siguientes secciones: Sección 3.3.2.1, “Adición de entradas” (↑Guía de administración de Novell AppArmor 2.0), Sección 3.3.2.2, “Edición de entradas” (↑Guía de administración de Novell AppArmor 2.0) y Sección 3.3.2.2, “Edición de entradas” (↑Guía de administración de Novell AppArmor 2.0).
Cuando haya terminado, haga clic en
En esta sección se explica la opción que encontrará en la Sección 3.3.2, “Adición manual de perfiles” (↑Guía de administración de Novell AppArmor 2.0) o en la Sección 3.3.3, “Edición de perfiles” (↑Guía de administración de Novell AppArmor 2.0). Al seleccionar aparecerá una lista desplegable que muestra los tipos de entrada que puede añadir al perfil de Novell AppArmor.
En la lista, seleccione una de las siguientes opciones:
En la ventana emergente, especifique la vía completa de un archivo, incluido el tipo de acceso permitido. Cuando termine, haga clic en
Puede utilizar los englobamientos si es necesario. Para obtener información detallada sobre los englobamientos, consulte la Sección 3.6, “Nombres de vías y englobamiento” (↑Guía de administración de Novell AppArmor 2.0). Para obtener información sobre los permisos de acceso a archivos, consulte la Sección 3.7, “Modos de permiso de acceso a archivos” (↑Guía de administración de Novell AppArmor 2.0).
 |
En la ventana emergente, especifique la vía completa de un directorio, incluido el tipo de acceso permitido. Puede utilizar los englobamientos si es necesario. Cuando termine, haga clic en
Para obtener información detallada sobre los englobamientos, consulte la Sección 3.6, “Nombres de vías y englobamiento” (↑Guía de administración de Novell AppArmor 2.0). Para obtener información sobre los permisos de acceso a archivos, consulte la Sección 3.7, “Modos de permiso de acceso a archivos” (↑Guía de administración de Novell AppArmor 2.0).
|
En la ventana emergente, seleccione las capacidades adecuadas. Se trata de declaraciones que habilitan las 32 capacidades POSIX.1e. Consulte la Sección 3.1.1, “División de un perfil de Novell AppArmor en las partes que lo componen” (↑Guía de administración de Novell AppArmor 2.0) para obtener más información sobre las capacidades. Al terminar de realizar las selecciones, haga clic en
 |
En la ventana emergente, desplácese hasta los archivos que desee utilizar como entradas include. Las declaraciones include son directivas que incorporan componentes de otros perfiles de Novell AppArmor para simplificar la estructura de los perfiles. Para obtener más información, consulte la Sección 3.1.2, “#include” (↑Guía de administración de Novell AppArmor 2.0).
 |
En esta sección se explica la opción que encontrará en la Sección 3.3.2, “Adición manual de perfiles” (↑Guía de administración de Novell AppArmor 2.0) o en la Sección 3.3.3, “Edición de perfiles” (↑Guía de administración de Novell AppArmor 2.0). Al seleccionar se abrirá una ventana emergente del explorador de archivos. En ella podrá editar la entrada seleccionada.
En la ventana emergente, especifique la vía completa de un archivo, incluido el tipo de acceso permitido. Puede utilizar los englobamientos si es necesario. Cuando termine, haga clic en
Para obtener información detallada sobre los englobamientos, consulte la Sección 3.6, “Nombres de vías y englobamiento” (↑Guía de administración de Novell AppArmor 2.0). Para obtener información sobre los permisos de acceso a archivos, consulte la Sección 3.7, “Modos de permiso de acceso a archivos” (↑Guía de administración de Novell AppArmor 2.0).
 |
En esta sección se explica la opción que encontrará en la Sección 3.3.2, “Adición manual de perfiles” (↑Guía de administración de Novell AppArmor 2.0) o en la Sección 3.3.3, “Edición de perfiles” (↑Guía de administración de Novell AppArmor 2.0). Al seleccionar una entrada y luego hacer clic en Novell AppArmor eliminará la entrada de perfil seleccionada.
Novell AppArmor permite editar manualmente los perfiles de Novell AppArmor añadiendo, editando o suprimiendo entradas. Basta con seleccionar el perfil y añadir, editar o suprimir las entradas que desee. Para editar un perfil, lleve a cabo los pasos siguientes:
Abra +
En haga clic en Se abrirá la ventana
 |
En la lista de perfiles de programas, seleccione el perfil que desee editar.
Haga clic en El perfil se mostrará en la ventana .
 |
En la ventana puede añadir, editar o suprimir entradas de perfiles de Novell AppArmor haciendo clic en los botones correspondientes y consultando las siguientes secciones: Sección 3.3.2.1, “Adición de entradas” (↑Guía de administración de Novell AppArmor 2.0), Sección 3.3.2.2, “Edición de entradas” (↑Guía de administración de Novell AppArmor 2.0) y Sección 3.3.2.3, “Supresión de entradas” (↑Guía de administración de Novell AppArmor 2.0).
Cuando haya terminado, haga clic en
En la ventana emergente que aparecerá, haga clic en para confirmar los cambios en el perfil.
Con Novell AppArmor es posible suprimir un perfil de Novell AppArmor manualmente. Basta con seleccionar la aplicación para la que desee suprimir el perfil y luego suprimirlo del modo siguiente:
El asistente de perfiles de Novell AppArmor utiliza logprof, una herramienta que explora los archivos de registro y permite actualizar los perfiles según los resultados. logprof realiza un seguimiento de los mensajes desde el módulo de Novell AppArmor que representa las excepciones para todos los perfiles que se ejecutan en el sistema. Estas excepciones representan el comportamiento de la aplicación con perfil que no se ajusta a la definición del perfil para el programa. Puede añadir el nuevo comportamiento al perfil relevante seleccionando la entrada de perfil sugerida.
Abra + Se mostrará la interfaz de Novell AppArmor.
En haga clic en Aparecerá la ventana del
 |
Al ejecutar el logprof procesa los archivos de registro del modo de aprendizaje. De este modo se generará una serie de preguntas a las que deberá responder para guiar a logprof durante el proceso de generación del perfil de seguridad.
Las preguntas se dividen en dos categorías:
Un programa con perfil solicita un recurso no incluido en el perfil (consulte la Figura 3.4, “Excepción del modo de aprendizaje: control de acceso a recursos específicos” (↑Guía de administración de Novell AppArmor 2.0)).
El programa con perfil ejecuta otro programa y la transición del dominio de seguridad no está definida (consulte la Figura 3.5, “Excepción del modo de aprendizaje: definición de permisos de ejecución para una entrada” (↑Guía de administración de Novell AppArmor 2.0)).
Cada caso produce una pregunta que deberá responder y que permite añadir el recurso o programa al perfil. Las dos figuras siguientes muestran un ejemplo de cada caso. Los pasos subsiguientes describen las opciones para responder a estas preguntas.
logprof comienza a sugerir entradas de vías de directorios a las que ha accedido la aplicación cuyo perfil está generando (tal y como se observa en la Figura 3.4, “Excepción del modo de aprendizaje: control de acceso a recursos específicos” (↑Guía de administración de Novell AppArmor 2.0)) o a solicitar que defina permisos de ejecución para las entradas (tal y como se observa en la Figura 3.5, “Excepción del modo de aprendizaje: definición de permisos de ejecución para una entrada” (↑Guía de administración de Novell AppArmor 2.0)).
En el caso de la Figura 3.4, “Excepción del modo de aprendizaje: control de acceso a recursos específicos” (↑Guía de administración de Novell AppArmor 2.0), de las siguientes opciones, seleccione la que satisfaga la solicitud de acceso (puede ser una entrada include sugerida, una versión global concreta de la vía o el nombre de vía real). Tenga en cuenta que no todas estas opciones estarán siempre disponibles.
#includeSección de un perfil de Novell AppArmor que hace referencia a un archivo include. Los archivos include recuperan los permisos de acceso de los programas. Utilizando una declaración include, puede proporcionar al programa acceso a las vías de directorios o archivos que también necesiten otros programas. Al utilizar este tipo de declaraciones, podrá reducir el tamaño de los perfiles. Es recomendable seleccionar las entradas include cuando el sistema lo sugiera.
Se accede haciendo clic en tal y como se describe en el siguiente paso. Para obtener más información acerca de la sintaxis global, consulte la Sección 3.6, “Nombres de vías y englobamiento” (↑Guía de administración de Novell AppArmor 2.0).
Vía literal a la que el programa debe acceder para ejecutarse correctamente.
En el caso de la Figura 3.5, “Excepción del modo de aprendizaje: definición de permisos de ejecución para una entrada” (↑Guía de administración de Novell AppArmor 2.0), seleccione la vía que satisfaga los requisitos de acceso seleccionando una de las siguientes opciones:
Permanece en el mismo perfil de seguridad (perfil principal).
Requiere que exista un perfil distinto para el programa ejecutado.
El programa se ejecuta sin perfil de seguridad.
| Aviso |
|---|---|
A menos que sea absolutamente necesario, no ejecute programas sin limitación. Si selecciona la opción el nuevo programa se ejecutará sin ninguna protección de AppArmor. | |
Después de seleccionar una vía de directorio, deberá procesarla como una entrada del perfil de Novell AppArmor haciendo clic en o en Si no está satisfecho con la entrada de vía de directorio tal y como aparece, también puede utilizar las opciones o
Las opciones disponibles para procesar las entradas del modo de aprendizaje y crear el perfil son las siguientes:
Proporciona acceso al programa a las entradas de vías de directorio especificadas. El asistente para la creación de perfiles sugiere los permisos de acceso a los archivos. Para obtener más información acerca de este tema, consulte la Sección 3.7, “Modos de permiso de acceso a archivos” (↑Guía de administración de Novell AppArmor 2.0).
Haga clic en para impedir que el programa acceda a las entradas de vías de directorios especificadas.
Al hacer clic en esta opción se modifica la vía de directorio (empleando comodines) para que incluya todos los archivos del directorio de entrada sugerido. Si hace doble clic se proporcionará acceso a todos los archivos y subdirectorios situados bajo el mostrado.
Para obtener más información acerca de la sintaxis de englobamiento, consulte la Sección 3.6, “Nombres de vías y englobamiento” (↑Guía de administración de Novell AppArmor 2.0).
Modifica la vía de directorio original conservando la extensión del nombre de archivo. Un solo clic hace que /etc/apache2/file.ext se convierta en /etc/apache2/*.ext, añadiendo el comodín (asterisco) en lugar del nombre de archivo. De este modo el programa puede acceder a todos los archivos de los directorios sugeridos que acaben con la extensión .ext. Si se hace doble clic se proporcionará acceso a todos los archivos (con la extensión definida) y subdirectorios situados bajo el mostrado.
Permite editar la línea destacada. La nueva línea (editada) aparecerá al final de la lista.
Cancela logprof, desechando todos los cambios de reglas introducidos hasta el momento y dejando intactos todos los perfiles, sin modificarlos.
Cierra logprof, guardando todos los cambios de reglas introducidos hasta el momento y modificando todos los perfiles en consecuencia.
Haga clic en o en para cada entrada del modo de aprendizaje. Esto facilita la creación del perfil de Novell AppArmor.
| Nota |
|---|---|
El número de entradas del modo de aprendizaje será directamente proporcional a la complejidad de la aplicación. | |
Repita los pasos anteriores si necesita ejecutar más funciones de la aplicación.
Cuando haya terminado, haga clic en En la siguiente ventana emergente, haga clic en para salir del asistente para la creación de perfiles. El perfil se guardará y cargará en el módulo de Novell AppArmor.
Novell AppArmor permite modificar el estado de Novell AppArmor y configurar la notificación de eventos.
Puede modificar el estado de Novell AppArmor habilitándolo o inhabilitándolo. Al habilitar Novell AppArmor se protege el sistema de posibles vulnerabilidades de los programas. Si se inhabilita Novell AppArmor, se anula la protección del sistema, aunque los perfiles estén configurados.
Puede determinar cómo y cuándo desea recibir las notificaciones cuando se produzcan los eventos de seguridad del sistema.
| Nota |
|---|---|
Deberá configurar un servidor de correo en el servidor de SUSE Linux que sea capaz de enviar correo saliente utilizando el protocolo simple de transferencia de correo (smtp) , por ejemplo postfix o exim, para que funcione la notificación de eventos. | |
Para configurar la notificación de eventos o modificar el estado de Novell AppArmor, lleve a cabo los pasos siguientes:
Al hacer clic en el aparecerá la ventana tal y como se muestra a continuación:
 |
En la pantalla determine si Novell AppArmor y la notificación de eventos de seguridad se están ejecutando. Para ello, busque un mensaje con el contenido
Para modificar el estado de Novell AppArmor, prosiga con el procedimiento descrito en Sección 3.3.6.1, “Modificación del estado de Novell AppArmor” (↑Guía de administración de Novell AppArmor 2.0).
Para configurar la notificación de eventos de seguridad, prosiga con el procedimiento descrito en la Sección 4.2.2, “Configuración de la notificación de eventos de seguridad” (↑Guía de administración de Novell AppArmor 2.0).
Al modificar el estado de Novell AppArmor, puede habilitarlo o inhabilitarlo. Si Novell AppArmor está habilitado, significa que está instalado, en ejecución y aplicando las directivas de seguridad de Novell AppArmor.
Para habilitar Novell AppArmor, abra + Se abrirá el menú principal de Novell AppArmor.
En el menú principal de haga clic en Aparecerá la ventana
 |
En la sección de la ventana, haga clic en Se abrirá el cuadro de diálogo
 |
Habilite Novell AppArmor seleccionando o inhabilite el programa seleccionando A continuación, haga clic en
Haga clic en en la ventana
Haga clic en + en el Centro de control de YaST.
| |  | |
| 3.2. Creación y gestión de perfiles de Novell AppArmor |  | 3.4. Creación de perfiles de Novell AppArmor mediante la interfaz de línea de comandos |